شرکت چینی Zoetop، مالک سابق برندهای معروف شین و ROMWE "فست مد"، توسط ایالت نیویورک 1,900,000 دلار جریمه شده است.
به عنوان دادستان کل لتیتیا جیمز آن را بگذار در بیانیه هفته گذشته:
تدابیر امنیتی ضعیف دیجیتالی SHEIN و ROMWE، سرقت اطلاعات شخصی مشتریان را برای هکرها آسان کرده است.
مثل اینکه این به اندازه کافی بد نبود، جیمز ادامه داد:
[P] داده های شخصی به سرقت رفت و Zoetop سعی کرد آن را پنهان کند. ناتوانی در محافظت از داده های شخصی مصرف کنندگان و دروغ گفتن در مورد آن مرسوم نیست. SHEIN و ROMWE باید اقدامات امنیتی سایبری خود را برای محافظت از مصرف کنندگان در برابر کلاهبرداری و سرقت هویت انجام دهند.
صادقانه بگویم، ما متعجبیم که Zoetop (اکنون شرکت توزیع SHEIN در ایالات متحده) با توجه به اندازه، ثروت و قدرت نام تجاری شرکت، فقدان آشکار حتی اقدامات احتیاطی اولیه که می توانست از خطرات ناشی از آن جلوگیری کند یا کاهش دهد، اینقدر ساده عمل کرد. توسط نقض، و عدم صداقت مداوم آن در رسیدگی به نقض پس از مشخص شدن آن.
نقض کشف شده توسط افراد خارجی
مطابق با دفتر دادستان کل نیویورک، Zoetop حتی متوجه این نقض نشد که در ژوئن 2018 اتفاق افتاد.
در عوض، پردازشگر پرداخت Zoetop به دنبال گزارشهای کلاهبرداری از دو منبع: یک شرکت کارت اعتباری و یک بانک، متوجه شد که شرکت مورد نفوذ قرار گرفته است.
شرکت کارت اعتباری با داده های کارت مشتریان SHEIN برای فروش در یک انجمن زیرزمینی مواجه شد که نشان می دهد این داده ها به صورت عمده از خود شرکت یا یکی از شرکای فناوری اطلاعات آن به دست آمده است.
و بانک SHEIN (تلفظ "she in"، اگر قبلاً آن را حل نکرده بودید، نه "درخشش") را به عنوان چیزی شناسایی کرد که به عنوان یک CPP در تاریخچه پرداخت مشتریان متعددی که کلاهبرداری شده بودند.
CPP کوتاه شده است نقطه مشترک خریدو دقیقاً به این معنی است که می گوید: اگر 100 مشتری به طور مستقل تقلب در کارت های خود را گزارش کنند و اگر تنها تاجر معمولی که تمام 100 مشتری اخیراً به او پرداخت کرده اند شرکت X باشد…
...پس شما شواهدی دارید که نشان می دهد X یکی از دلایل احتمالی "شیوع کلاهبرداری" است، به همان روشی که جان اسنو، اپیدمیولوژیست پیشگام بریتانیایی، شیوع وبا در سال 1854 در لندن را به یک زمان ردیابی کرد. پمپ آب آلوده در خیابان براد، سوهو.
کار اسنو به رد این ایده کمک کرد که بیماریها به سادگی «از طریق هوای کثیف پخش میشوند». "نظریه میکروب" را به عنوان یک واقعیت پزشکی ایجاد کرد و تفکر در مورد سلامت عمومی را متحول کرد. او همچنین نشان داد که چگونه اندازهگیری و آزمایش عینی میتواند به ارتباط علل و پیامدها کمک کند، بنابراین اطمینان حاصل میکند که محققان آینده وقت خود را برای ارائه توضیحات غیرممکن و جستجوی «راهحلهای بیفایده» تلف نمیکنند.
اقدامات احتیاطی انجام نداد
جای تعجب نیست که با توجه به اینکه این شرکت به طور دست دوم متوجه این نقض شده است، تحقیقات نیویورک کسب و کار را به دلیل زحمت ندادن به نظارت بر امنیت سایبری محکوم کرد. اسکنهای آسیبپذیری خارجی منظم را اجرا نکرده است یا به طور منظم گزارشهای حسابرسی را برای شناسایی حوادث امنیتی نظارت یا بررسی نکرده است.»
تحقیقات همچنین گزارش داد که Zoetop:
- رمزهای عبور کاربر هش شده به نحوی که شکستن آن بسیار آسان است. ظاهراً هش رمز عبور شامل ترکیب رمز عبور کاربر با یک نمک تصادفی دو رقمی و به دنبال آن یک تکرار MD5 بود. گزارشها از طرفداران شکستن رمز عبور حاکی از آن است که یک دستگاه کرکینگ 8 GPU مستقل با سختافزار 2016 میتوانست در آن زمان 200,000,000,000 MD5 را در ثانیه جابجا کند (نمک معمولاً زمان محاسبات اضافی اضافه نمیکند). این معادل آزمایش تقریباً 20 کوادریلیون رمز عبور در روز با استفاده از تنها یک رایانه با هدف خاص است. (نرخ کرک MD5 امروزی با استفاده از کارتهای گرافیک اخیر ظاهراً پنج تا ده برابر سریعتر از آن است.)
- داده ها را بی پروا ثبت کرد. برای تراکنشهایی که نوعی خطا رخ داده است، Zoetop کل تراکنش را در یک گزارش اشکالزدایی ذخیره میکند، ظاهراً جزئیات کامل کارت اعتباری را شامل میشود (ما فرض میکنیم که شامل کد امنیتی و همچنین تعداد طولانی و تاریخ انقضا میشود). اما حتی پس از اطلاع از نقض، این شرکت تلاشی نکرد تا دریابد که ممکن است این نوع داده های کارت پرداخت نادرست را در سیستم های خود ذخیره کند.
- نمی توان با طرح واکنش به حادثه اذیت شد. این شرکت نه تنها قبل از وقوع نقض یک طرح پاسخگویی به امنیت سایبری نداشت، بلکه ظاهراً به خود زحمت نداده بود که پس از آن برنامه ای برای پاسخگویی به امنیت سایبری ارائه کند، با تحقیقات نشان داد که "اقدام به موقع برای محافظت از بسیاری از مشتریان تحت تاثیر شکست خورده است."
- دچار عفونت جاسوس افزار در داخل سیستم پردازش پرداخت خود شده است. همانطور که تحقیقات توضیح داد، «هر گونه برداشت اطلاعات کارت پرداخت [بنابراین] با رهگیری دادههای کارت در محل خرید اتفاق میافتد.» همانطور که می توانید تصور کنید، با توجه به فقدان یک طرح واکنش به حادثه، شرکت متعاقباً قادر به تشخیص میزان عملکرد این بدافزار سرقت اطلاعات نبود، اگرچه این واقعیت که جزئیات کارت مشتریان در وب تاریک ظاهر شد نشان می دهد که مهاجمان موفقیت آمیز.
راستش را نگفت
این شرکت همچنین به دلیل عدم صداقت در نحوه برخورد با مشتریان پس از آگاهی از میزان حمله مورد انتقاد شدید قرار گرفت.
به عنوان مثال، شرکت:
- بیان کرد که 6,420,000 کاربر (کسانی که واقعاً سفارش داده بودند) تحت تأثیر قرار گرفتند. اگرچه میدانست که 39,000,000،XNUMX،XNUMX سوابق حساب کاربری، از جمله رمزهای عبور نادرست هش شده، به سرقت رفته است.
- گفت که با آن 6.42 میلیون کاربر تماس گرفته است. در حالی که در واقع فقط کاربران در کانادا، ایالات متحده و اروپا مطلع شدند.
- به مشتریان گفت که "هیچ مدرکی دال بر اینکه اطلاعات کارت اعتباری شما از سیستم های ما گرفته شده است" ندارد. علیرغم اینکه دو منبع به این نقض هشدار داده بودند که شواهدی را ارائه کردند که دقیقاً همین را نشان می دهد.
به نظر میرسد این شرکت همچنین از ذکر این موضوع غافل شده است که میدانست از یک عفونت بدافزار سرقت اطلاعات رنج میبرد و نتوانسته شواهدی ارائه دهد که نشان دهد این حمله هیچ نتیجهای نداشته است.
همچنین نتوانست فاش کند که گاهی اوقات اطلاعات کامل کارت را آگاهانه در گزارشهای اشکالزدایی ذخیره میکند (حداقل بار 27,295، در واقع)، اما در واقع تلاشی برای ردیابی آن فایلهای گزارش سرکش در سیستمهای خود نکرد تا ببیند به کجا رسیدهاند یا چه کسی ممکن است به آنها دسترسی داشته باشد.
برای اضافه کردن آسیب به توهین، تحقیقات بیشتر نشان داد که این شرکت با PCI DSS سازگار نیست (لاگ های سرکش اشکال زدایی آن از آن اطمینان حاصل کردند)، دستور داده شد که به تحقیقات پزشکی قانونی PCI ارائه شود، اما سپس اجازه دسترسی بازرسان را به آنها نداد. تا کار خود را انجام دهند.
همانطور که اسناد دادگاه به صراحت اشاره می کنند، [n]با این وجود، در بررسی محدودی که انجام داد، [بازپرس قانونی با صلاحیت PCI] مناطقی را پیدا کرد که در آنها سیستمهای Zoetop با PCI DSS سازگار نبودند.
شاید بدتر از همه، زمانی که این شرکت رمزهای عبور وب سایت ROMWE خود را برای فروش در وب تاریک در ژوئن 2020 کشف کرد و در نهایت متوجه شد که این داده ها احتمالاً در سال 2018 به سرقت رفته است که قبلاً سعی کرده بود آن را پنهان کند.
... پاسخ آن برای چندین ماه این بود که کاربران آسیب دیده را با یک اعلان ورود به سیستم قربانی مقصر ارائه می کرد که می گفت: رمز عبور شما از سطح امنیتی پایینی برخوردار است و ممکن است در خطر باشد. لطفا رمز ورود خود را تغییر دهید.»
این پیام متعاقباً به یک بیانیه انحرافی تبدیل شد که میگفت: رمز عبور شما بیش از 365 روز است که به روز نشده است. برای محافظت از شما، لطفاً آن را اکنون بهروزرسانی کنید.»
تنها در دسامبر 2020، پس از یافتن دومین بخش از رمزهای عبور برای فروش در وب تاریک، که ظاهراً بخشی از نفوذ را به بیش از 7,000,000،XNUMX،XNUMX حساب کاربری ROMWE رساند، این شرکت به مشتریان خود اعتراف کرد که آنها با هم درگیر شده اند. چیزی که از آن به صورت بی مزه به عنوان a "حادثه امنیت داده."
چه کاری انجام دهید؟
متأسفانه، به نظر نمیرسد مجازات در این مورد فشار زیادی بر «چه کسی به امنیت سایبری اهمیت میدهد، وقتی که میتوانید فقط جریمه را بپردازید؟» وارد نمیکند. شرکتها کار درست را انجام دهند، چه قبل، چه در حین یا بعد از یک حادثه امنیت سایبری.
آیا مجازات برای این نوع رفتار باید بیشتر باشد؟
تا زمانی که کسبوکارهایی وجود دارند که به نظر میرسد جریمهها را صرفاً بهعنوان هزینهای در نظر میگیرند که میتوان از قبل در بودجه کار کرد، آیا جریمههای مالی حتی راه درستی هستند؟
یا باید شرکتهایی که از این نوع نقضها رنج میبرند، سعی کنند مانع بازرسان شخص ثالث شوند و سپس حقیقت کامل آنچه را که اتفاق افتاده از مشتریان خود پنهان کنند…
... به سادگی نمی توان از معامله برای عشق یا پول جلوگیری کرد؟
نظر خود را در نظرات زیر بیان کنید! (شما ممکن است ناشناس بمانید.)
وقت یا پرسنل کافی نیست؟
اطلاعات بیشتر در مورد شناسایی و پاسخ مدیریت شده Sophos:
شکار، شناسایی و پاسخگویی تهدیدات 24/7 ▶
- بلاکچین
- coingenius
- سرپوش گذاشتن
- کیف پول cryptocurrency
- رمزنگاری
- امنیت سایبری
- مجرمان سایبری
- امنیت سایبری
- نقض داده ها
- از دست رفتن داده ها
- اداره امنیت میهن
- کیف پول دیجیتال
- فایروال
- انطباق GDPR
- کسپرسکی
- نرم افزارهای مخرب
- مکافی
- امنیت برهنه
- نیویورک
- NexBLOC
- افلاطون
- افلاطون آی
- هوش داده افلاطون
- بازی افلاطون
- PlatoData
- بازی پلاتو
- ROMWE
- شین
- VPN
- امنیت وب سایت
- زفیرنت
- Zoetop